ISMS Copilot
Documentación del SGSI

Partes Interesadas del ISMS Copilot

Como parte de nuestros compromisos con ISO 27001 e ISO 42001, identificamos y analizamos a las partes interesadas: actores que afectan o se ven afectados por nuestras prácticas de seguridad de la información. Comprender a estos interesados define el alcance de nuestro SGSI (ISMS), nuestros objetivos de seguridad y las prioridades de control.

Nuestras principales partes interesadas

Clientes

Ustedes son nuestra principal parte interesada. Sus requisitos impulsan nuestras prioridades de seguridad:

  • Aislamiento de datos: La separación de espacios de trabajo garantiza que sus datos nunca se mezclen con los de otros clientes.

  • Privacidad: Cumplimiento del RGPD, infraestructura en la UE, uso cero de sus datos para el entrenamiento de IA.

  • Control: Retención de datos gestionada por el usuario (de 0 días a 7 años), derechos de exportación y eliminación.

  • Transparencia: Documentación en el Trust Center, notificación oportuna de brechas de seguridad.

  • Soporte de cumplimiento: Hoja de ruta de certificación SOC 2 e ISO 27001 para requisitos empresariales.

Autoridades Reguladoras

Cumplimos con el RGPD (CNIL, autoridades de protección de datos de la UE) y las leyes de privacidad pertinentes. Esto impulsa nuestra arquitectura de privacidad desde el diseño, la implementación de los derechos de los interesados y las capacidades de respuesta ante incidentes.

Proveedores Externos

Los subencargados de tratamiento críticos (Supabase, Vercel, OpenAI, Grok, Mistral, ConvertAPI) se someten a una evaluación de seguridad. Buscamos acuerdos de Retención de Datos Cero con los proveedores de IA cuando es factible y utilizamos Cláusulas Contractuales Tipo para transferencias internacionales de datos.

Equipos Internos

Nuestros equipos de desarrollo, éxito del cliente y liderazgo mantienen la seguridad mediante MFA obligatorio, escaneo de código con Semgrep, separación de entornos y un compromiso de respuesta de 24 horas ante informes de seguridad.

Organismos de Certificación y Auditores

Los futuros auditores de SOC 2 e ISO 27001 requieren documentación completa del SGSI, evidencia de la efectividad del control y procesos de mejora continua. Estamos desarrollando documentación madura y programas de auditoría interna para respaldar la certificación.

Partes Legales y Seguros

Los proveedores de ciberseguros y las obligaciones contractuales influyen en la implementación de nuestros controles (MFA, copias de seguridad, respuesta ante incidentes) e impulsan los requisitos formales de SLA y Acuerdos de Procesamiento de Datos (DPA).

Clientes de nuestros clientes (Beneficiarios indirectos)

Cuando los consultores de cumplimiento y los auditores utilizan ISMS Copilot, sus clientes son partes interesadas indirectas. El aislamiento del espacio de trabajo (A.5.15, A.8.3) garantiza que no haya contaminación cruzada entre los clientes del consultor. La retención controlada por el usuario (A.5.33) permite a los consultores cumplir con los requisitos de retención de sus clientes. La guía de minimización de PII (A.5.34) y la detección automatizada planificada ayudan a proteger los datos de los empleados del cliente final. El uso cero de los datos del usuario para el entrenamiento de IA (A.7.2) evita la fuga de datos del cliente entre espacios de trabajo.

Organismos de Normalización y Titulares de Derechos de Autor

Los editores de marcos de trabajo (ISO, IEC, NIST, CIS, AICPA) requieren la protección de la propiedad intelectual. Nuestros datos de entrenamiento excluyen el texto de las normas con derechos de autor (A.5.32), utilizando en su lugar orientación disponible públicamente y experiencia de consultoría propia. Los prompts del sistema evitan la reproducción literal del texto de los controles. Los resultados generados citan los marcos de trabajo por nombre y versión con la recomendación de consultar las normas oficiales para obtener evidencia de auditoría.

Revisamos las partes interesadas anualmente y cuando ocurren cambios en el negocio, asegurando que nuestro SGSI evolucione con las necesidades de dichos interesados. Este análisis informa directamente nuestras evaluaciones de riesgos y objetivos de seguridad.

Practicamos lo que predicamos

Como plataforma de IA de cumplimiento, alinear nuestro propio SGSI con ISO 27001 e ISO 42001 demuestra nuestro compromiso con los estándares que ayudamos a implementar. El análisis de las partes interesadas (Cláusula 4.2 de ISO 27001:2022) es fundamental para esa alineación.

Utilice ISMS Copilot para identificar sus propias partes interesadas, asignar sus requisitos a los controles del Anexo A o generar plantillas de documentación de partes interesadas. Pregunte: "Ayúdame a identificar las partes interesadas para una organización de [su industria]."

¿Te fue útil?